Jeśli masz 5 serwerów WWW za modułem równoważenia obciążenia (...), czy potrzebujesz certyfikatów SSL dla wszystkich serwerów,
To zależy.
Jeśli wykonujesz równoważenie obciążenia na warstwie TCP lub IP (warstwa OSI 4/3, aka L4, L3), to tak, wszystkie serwery HTTP będą musiały mieć zainstalowany certyfikat SSL.
Jeśli ładujesz równowagę na warstwie HTTPS (L7), wtedy zwykle instalujesz certyfikat na samym module równoważenia obciążenia i używasz zwykłego niezaszyfrowanego HTTP w sieci lokalnej między modułem równoważenia obciążenia i serwerami WWW (w celu uzyskania najlepszej wydajności na serwery internetowe).
Jeśli masz dużą instalację, być może robisz Internet -> równoważenie obciążenia L3 -> warstwa koncentratorów L7 SSL -> równoważenie obciążenia -> warstwa serwerów aplikacji L7 HTTP ...
Willy Tarreau, autor HAProxy, ma naprawdę ładny przegląd kanonicznych sposobów równoważenia obciążenia HTTP / HTTPS .
Jeśli zainstalujesz certyfikat na każdym serwerze, upewnij się, że otrzymałeś certyfikat, który to obsługuje. Zwykle certyfikaty można instalować na wielu serwerach, o ile wszystkie serwery obsługują ruch tylko dla jednej w pełni kwalifikowanej nazwy domeny. Ale sprawdź, co kupujesz, wystawcy certyfikatów mogą mieć mylące portfolio produktów ...
Powinieneś być w stanie używać tego samego certyfikatu na każdym serwerze. Jeśli twoja strona internetowa to www.gathright.com, powinieneś być w stanie kupić certyfikat dla tej nazwy FQDN. Następnie instalujesz go na każdym z 5 serwerów za modułem równoważącym.
Alternatywnie możesz uzyskać osobny certyfikat dla każdego serwera WWW, ale wpisz „www.gathright.com” jako „alternatywną nazwę podmiotu”, co oznacza, że każdy z 5 certyfikatów będzie ważny dla protokołu SSL dla tej ogólnej nazwy FQDN, a także dla protokołu SSL do określonych nazw FQDN serwera.
źródło
TAK , możesz używać tego samego certyfikatu i powiązanego klucza prywatnego na wszystkich swoich serwerach, jeśli stoją one za modułem równoważenia obciążenia lub odwrotnym proxy równoważenia obciążenia i jeśli wszystkie obsługują zawartość dla tej samej domeny.
Certyfikaty podpisane przez urząd certyfikacji potwierdzają, że urząd certyfikacji zweryfikował nazwę wymienioną na certyfikacie. W przypadku certyfikatów dla witryn internetowych oznacza to nazwę domeny witryny. Twoja przeglądarka oczekuje, że serwer, z którym rozmawia, jeśli rozmawia przez HTTPS, przedstawia certyfikat o tej samej nazwie co nazwa domeny, z którą przeglądarka myśli, że rozmawia. (Na przykład VeriSign prawdopodobnie nie podpisze certyfikatu Hacker Joe dla bankofamerica.com. Więc nawet jeśli Hacker Joe zdoła przechwycić ruch między tobą a bankofamerica.com, Hacker Joe nie będzie miał podpisanego certyfikatu dla bankofamerica.com i twojej przeglądarki rozwieszą wszędzie duże czerwone flagi ostrzegawcze.)
Liczy się to, że nazwa na certyfikacie odpowiada nazwie domeny, z którą przeglądarka myśli, że rozmawia. Możesz użyć tego samego certyfikatu (z powiązanym kluczem prywatnym) noszącego prawidłową nazwę na wielu serwerach sieciowych w klastrze internetowym, o ile znajdują się one za modułem równoważenia obciążenia.
Możesz także użyć modułu równoważenia obciążenia kończącego SSL, w którym to przypadku użyłbyś certyfikatu (z powiązanym kluczem prywatnym) w module równoważenia obciążenia, a serwery WWW nie potrzebowałyby certyfikatów, ponieważ nie miałyby nic wspólnego z SSL.
źródło
Nasza konfiguracja działa bardzo dobrze:
W ten sposób funt odszyfrowuje ruch, odtąd wszystko jest proste http. Zalety: mniejsza konfiguracja na serwerach internetowych, jedno narzędzie dla każdego zadania. Możesz maksymalnie wykorzystać procesor na maszynie funta i utrzymywać serwery sieciowe w „normalnym” stanie. Powinieneś dostać co najmniej dwa z nich (funt, haproxy, serwery sieciowe), jeśli czas pracy jest ważny.
źródło
AFAIR, możesz użyć tego samego certyfikatu na każdym serwerze. Możesz także zaimplementować akcelerator SSL i odciążyć do niego cały ruch SSL.
źródło